netscreen配置端口映射web服务器
网络拓扑:
Server端配置web服务器,ip地址为,处于trust端口1,通道Trust;Client pc处于公司内网中,ip ,用来访问web服务器;防火墙的untrust端口连接公司内网,将公司内网模拟成外部Internet。配置策略使client访问server。
1.配置各接口IP
配置trust接口ip为管理ip为,接口工作在NAT模式。
测试web到trust接口的三层连通性:
配置unstrust接口的ip获取方式为静态,地址为,为了测试方便,保留了ping服务:
同样测试公司内网client到untrust接口的连通性,ping测试。
2.设置web服务器
使用iis作为服务器,略。本机访问测试效果如下:
3.配置防火墙
A.做端口映射,将外网的80端口映射到server的HTTP服务:编辑untrust端口,配置vip:
B.做策略,新建一条从untrust到global的策略。因为配置的VIP地址会自动添加到Gloabal 地址块中,所以需要到global的策略。
在源地址中选择地址簿Any,目标地址选择global vip地址块,服务类型只开放HTTP。在Advanced中选择Logging和Counting选项,以便观察访问情况:
4.测试
使用Client访问成功打开上架设的网站,实现了外网访问内网中的HTTP服务。
打开Policis的策略日志查看:
可以看出客户机Client的访问记录。
5.总结
本实验需要注意的地方:
A.外网访问内网时,需要有从server返回的路由,实现双向通信(在本模拟环境中可略去,因为模拟的Internet在同一ip段中,但现实中是不可能的)。而untrust端口通过static静态ip获取方式不能在路由表中生成默认路由,所以需要手动添加一条默认路由指向外网网关:
B.在添加VIP时,如果不修改默认的Web UI管理端口80,将不能成功添加80端口到内网HTTP的映射服务,因为netscreen认为管理端口和映射端口冲突,所以需要手动修改默认管理端口成8080